Le hacker des Cardinals écope de 4 ans de prison

21 Juil 2016

Au sport, les équipes sont toujours en quête de réussite. Les joueurs cherchent sans cesse de nouvelles méthodes dans le but d’écraser à tout prix leurs adversaires et prétendre à un nouveau titre. Après tout, plus ils gagnent, et mieux ils sont payés.

Parfois, cela implique le dopage, des substances pouvant aider à vaincre des adversaires, améliorer une prise, ou un flop théâtral. Quand on a l’avantage, on l’a, n’est-ce pas ? L’an dernier, l’équipe de la Ligue majeure de baseball des Cardinals de Saint-Louis a pris l’avantage à un tout autre niveau, par le biais du piratage.

A former scouting director for the St. Louis Cardinals gets 4 years in prison for hacking into another baseball team's database.

Non, vous ne rêvez pas. Retour en juin de l’année dernière, Denis Fisher avait écrit un article sur Threatpost disant : « Parmi les histoires les plus étranges présumées de piratage qui ont émergé récemment, les autorités fédérales mènent actuellement une enquête sur des employés des Cardinals de Saint-Louis qui auraient piraté des systèmes appartenant à l’équipe de baseball des Astros de Houston et eu accès à des conversations internes de l’équipe sur des joueurs, des clients, des rapports, et autres informations sensibles. »

Pour tous ceux qui lisent régulièrement Kaspersky Daily ou Threatpost, le piratage n’a rien de nouveau et se produit fréquemment. Ici, il ne s’agit pas seulement de savoir ce qui s’est passé, mais plutôt de comment il a pu avoir lieu.

Le directeur général des Astros de Houston, Jeff Lunhow était un dirigeant controversé pendant son époque avec les Cardinals. Et selon les premiers rapports de cette histoire, il semblerait que les cadres des Cardinals aient tenté d’accéder aux systèmes des Astros en utilisant des anciens mots de passe de Lunhow.

A présent, revenons aux premiers rapports, il y a un peu plus d’un an. Chris Correa, un ancien directeur des Cardinals, avait été condamné à 46 mois de prison après avoir avoué qu’il avait piraté les bases de données.

Selon le journal St. Louis Post-Dispatch : « Il y a six mois, lors de sa plaidoirie, Correa avait raconté qu’il avait piraté les comptes des Astros pour voir si les anciens employés des Cardinals avaient pris des données exclusives ou des modèles statistiques dans le but de les utiliser pour leurs nouvelles positions avec les Astros. Correa avait déclaré aux procureurs qu’il avait trouvé des preuves. »

En se penchant sur ses déclarations, on peut voir qu’il y avait probablement d’autres éléments en jeu, et même si c’était le cas, sa façon d’agir reste tout simplement inacceptable. Cela nous montre également que lorsqu’on accède à des données sans autorisation, les répercussions peuvent s’avérer bel et bien réelles. Un conseil : ne piratez pas. Même si vous pensez que vous avez de bonnes raisons de le faire. Ou que vous n’utilisez pas de logiciel spécifique au piratage informatique et que vous vous connectez simplement au compte de quelqu’un d’autre avec son mot de passe.

Cet incident nous montre également que ce n’est pas une bonne idée de partager des mots de passe ou de les réutiliser. Si les anciens collègues connaissaient des mots de passe communs ou des identifiants utilisés par Lunhow, ils auraient très bien pu obtenir beaucoup plus d’informations sensibles que de simples commentaires sur le baseball ou des informations sur les employés, comme par exemple des données financières.

Ce cas en particulier s’est produit pour la Ligue majeure de baseball, et cela ne veut pas dire qu’un scénario similaire ne se reproduira pas, en Ligue 1, à la Fifa, ou aux Jeux Olympiques. Ça arrivera sans doute, mais on ne sait pas encore quand.

Un bref rappel s’impose :

  1. Encore une fois, ne piratez pas. N’essayez même pas.
  2. Utilisez des mots de passe efficaces et sécurisés. Vous pouvez en lire davantage sur la réutilisation et la mise à jour des mots de passe dans cet article. Pour vérifier la fiabilité de vos mots de passe, rendez-vous ici.